Podcast: Recht, technisch! Folge 4 -Geschäftsgeheimnisse richtig schützen

Geschäftsgeheimnisse richtig schützen
2016 wurde der Schutz von Geschäftsgeheimnissen durch die Richtlinie 2016/943 in der EU harmonisiert. Im Jahr 2018 erfolgte die Umsetzung dieser Richtlinie in das österreichische Recht. Binder Grösswang Partner Michael Horak und Rechtsanwaltsanwärter Philipp Agathocleous aus dem Team für Geistiges Eigentum und Informationstechnologie ziehen ein Resümee ihrer Learnings und berichten über eine aktuelle Entscheidung des Obersten Gerichtshofs zum Geheimnisschutz.
Was kann als Geschäftsgeheimnis geschützt sein?
Geschäftsgeheimnisse sind geschäftliche Informationen, die nicht rein privater Natur oder allgemein bekannt sind. Darunter fallen auch sogenannte „komplexe Informationen“, die sich zwar aus bekannten Informationen zusammensetzen, aber in ihrer konkreten Anordnung nicht bekannt sind.
Die Informationen müssen weiters von kommerziellem Wert sein, also einen bestehenden oder zukünftigen Wert für das Unternehmen haben, und Gegenstand angemessener Geheimhaltungsmaßnahmen sein.
Werden zum Beispiel reine Kund*innendaten, die Mitarbeiter*innen beim Jobwechsel zu einem Wettbewerber mitnehmen, genutzt, um später neue geschäftliche Beziehungen aufzubauen, so liegt noch kein Geschäftsgeheimnis vor. Erst durch die Hinzunahme weiterer relevanter kundenbezogener Informationen, wie etwa Bestellverhalten oder Preispräferenzen, können solche Daten Geschäftsgeheimnisse sein. Auch Passwörter, technische Formeln und Codes sowie Login-Daten werden als Geschäftsgeheimnisse angesehen. Schwierigkeiten eines Unternehmens etwa bei der Produktion oder hinsichtlich dessen Finanzen können ebenso Geschäftsgeheimnisse darstellen. Solche Informationen können auch einen bedeutenden kommerziellen Wert haben, weil bei ihrer Veröffentlichung erhebliche wirtschaftliche Nachteile drohen.
Nicht unter den Schutz von Geschäftsgeheimnissen fallen Straftaten, die im Rahmen des Unternehmens begangen wurden. Um diesen Bedenken bereits im Vorhinein entgegenzuwirken, wurde eine eigene Reglung in die Geschäftsgeheimnis-RL aufgenommen, die festhält, dass Untersuchungen im öffentlichen Interesse nicht behindert werden dürfen.
Gestaltungsmöglichkeiten zum Schutz von Geschäftsgeheimnissen
Die Konkretisierung eines Geschäftsgeheimnisses gestaltet sich oft sehr schwierig. Sie ist aber wichtig, denn im Ernstfall muss klargestellt werden, worin genau das Geschäftsgeheimnis besteht. Ein entscheidender Aspekt ist ebenfalls, dass der Kreis der eingeweihten Personen klar definiert ist und so klein wie möglich gehalten wird.
Effektive Schutzmaßnahmen
Effektive Schutzmaßnahmen sind notwendig, um gesetzlichen Schutz zu erlangen. Der Gesetzgeber setzt hier die Angemessenheit der Schutzmaßnahmen voraus. Sie ist von der Art des Geheimnisses sowie der Branche und Größe des Unternehmens abhängig. Schutzmaßnahmen sollen jedenfalls kaufmännisch sinnvoll sein. Dementsprechend muss nicht immer die strengste technisch mögliche Maßnahme ergriffen werden, sondern eine, die in wirtschaftlicher Relation zum Kontext steht.
Wichtig ist, die implementierten Schutzmaßnahmen laufend zu überprüfen, einzuhalten und gegebenenfalls zu aktualisieren. Wird hier etwas verabsäumt, liegt im schlimmsten Fall kein Geschäftsgeheimnis vor.
Folgende Maßnahmen können zum Schutz von Geschäftsgeheimnissen implementiert werden:
- Vertragliche Maßnahmen: Geheimhaltungsvereinbarungen oder Geheimhaltungsverpflichtungen, insbesondere Regelungen in Dienstverträgen und bei Kooperationen
- Organisatorische Maßnahmen: Berechtigungsmanagement, Zugangsschranken, Richtlinien für den Umgang mit KI-Tools, Schulungsmaßnahmen, Offboarding von Dienstnehmer*innen: Rückgabe von Informationen und Daten, Dokumentation der Übergabe
- Technische Maßnahmen: IT-Sicherheit und Schutz physischer Informationen
Aktuelle OGH-Entscheidung
Aus einer kürzlich ergangenen Entscheidung des OGH können einige Schlüsse gezogen werden. Eine Arbeitnehmerin ist aus einem Unternehmen ausgeschieden und hat einige Monate später mit ihren alten Login-Daten auf eine Datenbank des früheren Arbeitgebers zugegriffen. Es stellte sich die Frage, ob eine Verletzung von Geschäftsgeheimnissen vorlag.
Der OGH entschied, dass in diesem Fall keine Verletzung von Geschäftsgeheimnissen vorlag, weil der ehemalige Arbeitgeber verabsäumt hatte, die Login-Daten beim Austritt der Arbeitnehmerin zurückzusetzen, obwohl dies eine einfache, jedoch effektive Maßnahme gewesen wäre. Vertragliche Maßnahmen alleine waren in diesem Fall unzureichend, weil die Mitarbeiterin bei ihrem Ausscheiden aus dem Unternehmen nicht an ihre Vertraulichkeitsverpflichtung erinnert wurde. Die Entscheidung zeigt deutlich auf, dass angemessene Schutzmaßnahmen eine wesentliche Voraussetzung für das Vorhandensein von Geschäftsgeheimnissen sind. Das Fehlen geeigneter Schutzvorkehrungen führte in diesem Fall dazu, dass gar kein Geschäftsgeheimnis bestand, das verletzt worden hätte können.
Der Schutz durch simple Passwörter und vage gehaltene vertragliche Maßnahmen ist nicht ausreichend. In diesem Zusammenhang sind insbesondere HR-Abteilungen gefordert, Offboarding-Prozesse so zu gestalten, dass der Schutz von Geschäftsgeheimnissen gewährleistet bleibt.
Wann liegt überhaupt eine Verletzung von Geschäftsgeheimnissen vor?
- Rechtswidriger Erwerb:
Der Erwerb eines Geschäftsgeheimnisses ist rechtswidrig, wenn Materialien, Dokumente oder Dateien, die das Geheimnis beinhalten, ohne Befugnis oder durch unseriöses Verhalten erlangt werden. - Rechtswidrige Nutzung oder Offenlegung:
Die Nutzung oder Offenlegung eines Geschäftsgeheimnisses ist rechtswidrig, wenn es rechtswidrig erworben wurde oder die Nutzung gegen ein NDA, einen Vertrag oder eine sonstige Geheimhaltungsverpflichtung verstößt.
Erwerb, Nutzung und Offenlegung sind auch dann rechtswidrig, wenn ein Dritter das Geschäftsgeheimnis zuvor rechtswidrig erworben hat und der Empfänger davon weiß oder wissen müsste.
Fazit
Für einen zielgerichteten Schutz von Geschäftsgeheimnissen sollte man sich folgende Fragen stellen:
- Welche Informationen sollen geschützt werden?
- Worin besteht der Wert dieser Informationen und wie kann dieser einem*r Richter*in dargelegt werden?
- Wie können die Informationen angemessen geschützt werden?
- Wie können die Schutzmaßnahmen dokumentiert und nachgewiesen werden?
Hinweis: Dieser Podcast stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Podcast kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Podcasts.